📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 15h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 16h Global phishing قطاعات متعددة HIGH 16h Global vulnerability تطبيقات الويب CRITICAL 17h Global apt البنية التحتية الحرجة CRITICAL 17h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 15h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 16h Global phishing قطاعات متعددة HIGH 16h Global vulnerability تطبيقات الويب CRITICAL 17h Global apt البنية التحتية الحرجة CRITICAL 17h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 1h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 5h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 6h Global vulnerability التعليم العالي CRITICAL 15h Global data_breach القطاع الحكومي HIGH 16h Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 16h Global malware تطوير البرمجيات CRITICAL 16h Global phishing قطاعات متعددة HIGH 16h Global vulnerability تطبيقات الويب CRITICAL 17h Global apt البنية التحتية الحرجة CRITICAL 17h
الثغرات

CVE-2026-7227

مرتفع
CWE-74 — نوع الضعف
نُشر: Apr 28, 2026  ·  آخر تحديث: May 5, 2026  ·  المصدر: NVD
CVSS v3
7.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was detected in SourceCodester Pizzafy Ecommerce System 1.0. Impacted is the function Login of the file /admin/ajax.php?action=login. The manipulation of the argument e-mail results in sql injection. The attack can be executed remotely. The exploit is now public and may be used.

🤖 ملخص AI

CVE-2026-7227 is a critical SQL injection vulnerability in SourceCodester Pizzafy Ecommerce System 1.0 affecting the admin login function. The vulnerability allows remote attackers to manipulate the email parameter in /admin/ajax.php to execute arbitrary SQL queries, potentially leading to unauthorized access, data exfiltration, and system compromise. With a CVSS score of 7.3 and public exploit availability, this poses an immediate threat to organizations using this platform.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 5, 2026 20:54
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi e-commerce businesses, particularly small to medium-sized enterprises (SMEs) using Pizzafy for online retail operations. High-risk sectors include: (1) Retail/E-commerce platforms selling goods domestically and regionally; (2) Payment processing systems integrated with these platforms, affecting SAMA-regulated payment security; (3) Customer data repositories containing personal information subject to PDPL compliance; (4) Hospitality and food delivery services (given Pizzafy's pizza-focused nature) operating in Saudi Arabia. Compromise could lead to unauthorized admin access, customer data theft, financial fraud, and regulatory violations under PDPL and SAMA guidelines.
🏢 القطاعات السعودية المتأثرة
Retail/E-commerce Food and Beverage (Pizza/Restaurant chains) Payment Processing Hospitality Small to Medium Enterprises (SMEs) Online Marketplace Operators
⚖️ درجة المخاطر السعودية (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of SourceCodester Pizzafy Ecommerce System 1.0 in your environment

2. Restrict network access to /admin/ajax.php using WAF rules or firewall policies

3. Implement input validation: reject email parameters containing SQL metacharacters (', ", ;, --, /**/)

4. Enable SQL error suppression to prevent information disclosure



PATCHING GUIDANCE:

5. Contact SourceCodester for security patches or migrate to alternative e-commerce platforms

6. If patching unavailable, implement parameterized queries/prepared statements in the login function

7. Apply principle of least privilege to database user accounts



COMPENSATING CONTROLS:

8. Deploy Web Application Firewall (WAF) with SQL injection detection rules

9. Implement rate limiting on /admin/ajax.php to prevent brute force attacks

10. Enable comprehensive logging and monitoring of admin login attempts

11. Conduct database activity monitoring (DAM) to detect suspicious queries



DETECTION RULES:

12. Monitor for SQL keywords in email parameter: UNION, SELECT, INSERT, DROP, EXEC, SCRIPT

13. Alert on multiple failed login attempts followed by successful access

14. Track unusual database queries originating from web application user

15. Implement IDS/IPS signatures for SQL injection patterns in HTTP POST requests
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تحديد جميع حالات SourceCodester Pizzafy Ecommerce System 1.0 في بيئتك

2. تقييد الوصول إلى الشبكة إلى /admin/ajax.php باستخدام قواعد WAF أو سياسات جدار الحماية

3. تنفيذ التحقق من الإدخال: رفض معاملات البريد الإلكتروني التي تحتوي على أحرف SQL الخاصة (', ", ;, --, /**/)

4. تفعيل قمع أخطاء SQL لمنع الكشف عن المعلومات



إرشادات التصحيح:

5. الاتصال بـ SourceCodester للحصول على تصحيحات أمان أو الهجرة إلى منصات التجارة الإلكترونية البديلة

6. إذا لم يكن التصحيح متاحاً، قم بتنفيذ الاستعلامات المعاملة/البيانات المحضرة في وظيفة تسجيل الدخول

7. تطبيق مبدأ أقل امتياز على حسابات مستخدمي قاعدة البيانات



الضوابط البديلة:

8. نشر جدار تطبيقات الويب (WAF) مع قواعد كشف حقن SQL

9. تنفيذ تحديد معدل على /admin/ajax.php لمنع هجمات القوة الغاشمة

10. تفعيل السجلات الشاملة ومراقبة محاولات تسجيل الدخول للمسؤول

11. تتبع نشاط قاعدة البيانات (DAM) للكشف عن الاستعلامات المريبة



قواعد الكشف:

12. مراقبة كلمات SQL الرئيسية في معامل البريد الإلكتروني: UNION, SELECT, INSERT, DROP, EXEC, SCRIPT

13. التنبيه على محاولات تسجيل دخول متعددة فاشلة متبوعة بوصول ناجح

14. تتبع استعلامات قاعدة البيانات غير العادية من مستخدم تطبيق الويب

15. تنفيذ توقيعات IDS/IPS لأنماط حقن SQL في طلبات HTTP POST
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure coding practices and code review ECC 2024 A.14.3.1 - Testing of security functionality ECC 2024 A.13.1.3 - Segregation of development, test and production environments
🔵 SAMA CSF
SAMA CSF ID.BE-3.2 - Organizational roles and responsibilities SAMA CSF PR.AC-1.1 - Access control policy and procedures SAMA CSF PR.AC-1.2 - User access provisioning and de-provisioning SAMA CSF DE.AE-1.1 - Audit logs and monitoring
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.22 - Monitoring activities ISO 27001:2022 A.8.23 - Administrator and operator logs ISO 27001:2022 A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.5.6 - Broken authentication prevention PCI DSS 10.2.1 - User access logging PCI DSS 10.3.1 - Failed access attempt logging
📊 CVSS Score
7.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.3
CWECWE-74
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-04-28
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
8.2
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.